[Discuss] DROWN-Attack ... @ your device? (sorry for crossposting)

Erich N. Pekarek (spam-protected)
Mi Mär 2 01:48:16 CET 2016 

Hallo Matthias!

Am 2016-03-01 um 21:44 schrieb Matthias Šubik:
> [...]
> Deshalb bitte:
> Prüft ob Eure IP(s) beim Test dabei waren:
> https://drownattack.com/#test
Dieser Link gibt, wie Du richtigerweise andeutest, nur Auskunft darüber, 
ob im gescannten IPv4-Adressraum die Lücke aufgetreten ist.
Generell wäre es ratsam, die angewandten Verschlüsselungsstandards auf 
dem eigenen Server auf generellere Weise zu prüfen.

Anbei ein paar hilfreiche Links zu Webtools, mit denen man 
SSL/TLS-Debugging hinsichtlich häufiger Fehler betreiben kann:

https://de.ssl-tools.net/mailservers
https://de.ssl-tools.net/webservers/
https://whatsmychaincert.com/
https://www.ssllabs.com/

> Updates machen hilft, am besten auch gleich manuell sicherstellen, dass SSLv2 und v3 garantiert abgestellt sind.
Für die gängigen Mail- und Webserver liefert meist eine Suche nach den 
Keywords cipher, cipherlist und tls protocols, sowie dem Namen des 
Serverdienstes und oder des Serverprogramms die erforderlichen 
Informationen...

Bei dieser Gelegenheit kann es auch nicht schaden, auf jeder Maschine 
neue Diffie Hellman Parameter (dhparams) (in den erforderlichen Längen) 
zu erstellen, da diese aufgrund vorangegangener Probleme bei 
Pseudo-Zufallszahlengeneratoren oder in Folge früherer Lücken oder 
schlicht, weil sie zu kurz sind, nicht (mehr) die erforderliche 
Sicherheit bieten.

> Wenn Ihr dabei Hilfe braucht, können wir uns darüber auf (spam-protected) austauschen,
> bzw. in kritischen Fällen natürlich auch beim abuse-team ((spam-protected)), auf Wunsch auch vertraulich.
Danke für Dein Angebot und diese Initiative!
Eventuell wäre eine (kommentierte) Linksammlung im Funkfeuer-Wiki, die 
Hardening-Tips für die gängigen Dienste abbildet ein erster Schritt, 
damit die Informationen dazu und Erkenntnisse hieraus übersichtlich 
bleiben. Bitte poste den Link, wenn Du sie in Folge dieser Anregung 
angelegt haben wirst.
>
> Beste Grüße
> Matthias
>
>
SG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : erich.vcf
Dateityp    : text/x-vcard
Dateigröße  : 4 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20160302/317ce49b/attachment.vcf>

Mehr Informationen über die Mailingliste Discuss